CLIEN

본문 바로가기 메뉴 바로가기 보기설정 테마설정
톺아보기 공감글
커뮤니티 커뮤니티전체 C 모두의광장 F 모두의공원 I 사진게시판 Q 아무거나질문 D 정보와자료 N 새로운소식 T 유용한사이트 P 자료실 E 강좌/사용기 L 팁과강좌 U 사용기 · 체험단사용기 W 사고팔고 J 알뜰구매 S 회원중고장터 B 직접홍보 · 보험상담실 H 클리앙홈
소모임 소모임전체 ·굴러간당 ·아이포니앙 ·주식한당 ·방탄소년당 ·MaClien ·일본산당 ·자전거당 ·개발한당 ·이륜차당 ·AI당 ·바다건너당 ·물고기당 ·콘솔한당 ·소시당 ·소셜게임한당 ·안드로메당 ·노젓는당 ·갖고다닌당 ·클다방 ·찰칵찍당 ·ADHD당 ·VR당 ·창업한당 ·나혼자산당 ·걸그룹당 ·골프당 ·방송한당 ·여행을떠난당 ·냐옹이당 ·레고당 ·라즈베리파이당 ·달린당 ·나스당 ·3D메이킹 ·X세대당 ·AI그림당 ·날아간당 ·사과시계당 ·육아당 ·배드민턴당 ·야구당 ·농구당 ·블랙베리당 ·곰돌이당 ·비어있당 ·FM당구당 ·블록체인당 ·보드게임당 ·활자중독당 ·볼링친당 ·캠핑간당 ·문명하셨당 ·클래시앙 ·요리한당 ·쿠키런당 ·대구당 ·DANGER당 ·뚝딱뚝당 ·디아블로당 ·개판이당 ·동숲한당 ·날아올랑 ·전기자전거당 ·e북본당 ·이브한당 ·패셔니앙 ·도시어부당 ·FM한당 ·맛있겠당 ·포뮬러당 ·젬워한당 ·안경쓴당 ·차턴당 ·총쏜당 ·땀흘린당 ·하스스톤한당 ·히어로즈한당 ·인스타한당 ·IoT당 ·KARA당 ·키보드당 ·꼬들한당 ·덕질한당 ·어학당 ·가죽당 ·리눅서당 ·LOLien ·Mabinogien ·임시소모임 ·미드당 ·밀리터리당 ·땅판당 ·헌팅한당 ·오른당 ·영화본당 ·MTG한당 ·소리당 ·노키앙 ·적는당 ·PC튜닝한당 ·그림그린당 ·소풍간당 ·심는당 ·패스오브엑자일당 ·품앱이당 ·리듬탄당 ·Sea마당 ·SimSim하당 ·심야식당 ·윈태블릿당 ·미끄러진당 ·축구당 ·스타한당 ·스팀한당 ·파도탄당 ·퐁당퐁당 ·테니스친당 ·테스트당 ·빨콩이당 ·공대시계당 ·터치패드당 ·트윗당 ·가상화폐당 ·시계찬당 ·WebOs당 ·위스키당 ·와인마신당 ·WOW당 ·윈폰이당
임시소모임
고객지원
  • 게시물 삭제 요청
  • 불법촬영물등 신고
  • 쪽지 신고
  • 닉네임 신고
  • 제보 및 기타 제안
© CLIEN.NET
공지[점검] 잠시후 서비스 점검을 위해 약 30분간 접속이 차단됩니다. (금일 18:15 ~ 18:45)

팁과강좌

기타 구글 플레이스토어, 애플 앱 스토어 결제 크랙을 막아보자. 20

4
2016-04-22 11:38:55 112.♡.24.101
순순

small.jpg

저는 지난 1월에 구글 플레이 스토어에, 3월에 애플 앱스토어에 도트레인저스 라는 게임을 출시하고 서비스를 하고 있습니다. 최초에 이 프로젝트를 시작하면서 자연스럽게 얻은 경험과 노하우들을 컨텐츠화 시켜서 공유하기로 마음먹었었는데, 이제 슬슬 서비스도 어느정도 안정화 됐고 유저도 많이 빠져나가서 ( ㅠ_ㅠ .. 아 눈물이.. ) 하나씩 내용을 정리해서 공유해보려 합니다.

 

오늘은 저와 같은 생계형 개발자를 괴롭히는 결제 크랙을 박아보는 방법에 대해서 소개하려 합니다.

 

도트레인저스는 두 스토어를 합쳐서 출시후 약 80,000 명정도의 유저가 게임을 다운 받아주셨고 ( 글로벌 판매중 ) 그중에서 약 75,000 명이 계정을 생성하고,  약 15,000 개정도의 결제 로그가 수집되었습니다. 그런데 그중 무려 약 14,000 회가 다 크랙 결제로 확인되었습니다. 시스템적으로 크랙 결제를 시도하면, 게임을 향후에 다시 플레이하지 못하도록 막아놨으니, 이를 막지않았다면 훨씬더 많은 양의 로그가 기록 되었겠죠.

 

의미없는 계산이지만, 크랙 결제가 실제 결제라 판단되면 거의 20억에 육박하는 매출이네요. 흑흑. 

 

크랙 결제는, 안드로이드나 아이폰을 루팅해서 진행할 수 있는 것으로 알고 있습니다. 폰을 루팅하면, 결제 내역을 요청하는 서버 주소지가 변경되고 이를 통해서, 실제 결제가 아닌 가짜 결제가 진행되고, 가짜 영수증이 리턴 되는 형태로 진행이 되게 됩니다.

 

크랙 결제를 막기위해서는 먼저, 이렇게 받은 영수증의 내용을 검토해서, 구조가 엉성하거나, 정식 영수증과 패턴이 다르거나, 유효하지 않은 토큰등을 분석해서 가짜 여부를 막는 방법이 있습니다. 저도 과거에는 아무래도 모바일 네트환경이 전 세계적으로 원할하지 않다보니 이러한 방법을 통해서 가짜 여부를 파악했었습니다. 

 

그런데 이번에 게임을 출시해보니 특히 애플쪽에서는 유효하지 않은 영수증으로 판단되는 영수증내용이 실제 영수증의 구조와 매우 유사하고, 구분하기가 쉽지 않더군요. 

 

그래서 이번에는 직접 구글과 애플에서 제공하는 결제 검증 방법을 통해서 가짜 결제를 확인하는 방법을 사용했습니다. 결제가 발생했을때, 리턴되는 영수증을 구글과 애플로 검증 요청을 보내, 실제 유효한 영수증으로 판단되는 경우에만 게임 내 재화를 제공하는 방법을 사용하게 되었습니다.

 

이 방법을 통하면, 아무래도 결제진행에 다소 딜레이가 발생하게 되지만, 가장 정확하게 영수증 인증을 할 수 있는 방법이라고 생각합니다. 저희 게임은 Azure 에 구성해논 node 서버를 통해서 결제 검증 시스템을 구축해놨습니다.

 

다음은 저희 서버 개발을 도와준 친구가 node 기준으로 영수증 검증을 진행하는 절차를 설명한 내용입니다.

 

구글 플레이 스토어 결제 검증 방법

http://totuworld.github.io/2016/02/10/google-oauth/

 

애플 앱 스토어 결제 검증 방법

http://totuworld.github.io/2016/03/23/ios-validation/

 

이상하게 간략하게, 영수증 검증을 통한 결제 크랙을 막는 방법을 소개해봤습니다. 사실 저와 같은 1인, 혹은 소규모 개발팀은 결제 검증 절차를 구성하는 것이 조금 귀찮게 느껴질 수도있지만, 안하면 정말 어마어마한 양의 가짜 결제가 쌓이는 것을 볼 수 있게 됩니다. 조금 힘들더라도 위 내용을 참조하여 영수증 검증을 구축하시거나, 주변의 서버 개발자들의 도움을 받아서 구축해보시길 바랍니다.

 

좀 더 자세한 내용은 개인 블로그에서 자세하게 정리해놨습니다.

http://blog.soonsoons.com/220690243691

 

 

 

 

순순 님의 게시글 댓글
  • 주소복사
  • Facebook
  • X(Twitter)
댓글 • [20]
삭제 되었습니다.
순순
IP 112.♡.24.101
04-22 2016-04-22 11:51:13 / 수정일: 2017-04-30 22:25:55
·
후.. 지금도 크랙 결제 로그는 모으면서 기분만 좋고있습니다. ( -ㅁ- 으어어어어어어어 )
막 찍히는거보면 설레긴해요.
알게뭐야
IP 39.♡.23.2
04-22 2016-04-22 12:19:06 / 수정일: 2017-04-30 22:25:55
·
그런데 이런 건 기본적으로 스토어에서 막아줘야 하는거 아닌가요?
삭제 되었습니다.
모노모
IP 110.♡.179.41
04-22 2016-04-22 14:27:44 / 수정일: 2017-04-30 22:25:55
·
위의 결제 정보와 영수증 확인 방법들이 기본적으로 스토어에서 부정 결제를 막는 수단을 제공하는 겁니다.
그걸 소규모 개발사에선 확인을 안 하면 당하는 거죠.
가짜 영수증을 들고 와서 결제했다고 물건 달라고 하는데 그 영수증 확인을 제대로 안하고 바로 물건을 주느냐 아니면 제대로 된 영수증인지 검증하고 주느냐의 차이라고 보시면 되는데 크랙을 하면 아무리 스토어에서 막는다고 가짜 영수증 들고 오는 건 못 막고 단지 영수증 진위 여부를 알려 줄가 있죠. 그 검증도 사용자 단말기가 아니고 앱 개발사 서버에서 확인을 해야 제대된 검증이 되는데 따로 외부 서버를 두기 어려운 영세 업자들은 이 과정을 무시하는 경우가 많죠.
도장
IP 211.♡.130.106
04-22 2016-04-22 13:48:45 / 수정일: 2017-04-30 22:25:55
·
해결방법이 있음에도 별 고민없이 루팅폰을 막아버리는 식으로 막아보려는 앱들이 늘어나서 답답합니다... ㅠㅠ
순순
IP 125.♡.42.207
04-22 2016-04-22 19:14:38 / 수정일: 2017-04-30 22:25:55
·
루팅폰을 막는 방법이 있군요 *_* 알아봐야겠습니다.
삭제 되었습니다.
순순
IP 125.♡.42.207
04-22 2016-04-22 19:15:27 / 수정일: 2017-04-30 22:25:55
·
그건 생각을 못해봤네요 ㅎㅎ
꼬치
IP 125.♡.103.141
04-22 2016-04-22 14:43:46 / 수정일: 2017-04-30 22:25:55
·
개발자 님들을 생각하면 진짜 불법은 금해야겠네요..
우너세
IP 61.♡.163.51
04-22 2016-04-22 15:00:20 / 수정일: 2017-04-30 22:25:55
·
몇 달전에 본것 같은데 어디서 봤는지 모르겠네요..
순순
IP 125.♡.42.207
04-22 2016-04-22 19:15:45 / 수정일: 2017-04-30 22:25:55
·
아 2달전쯤에 구글 결제 검증 방법만 따로 한번 소개한적이있습니다~!!
南無
IP 175.♡.28.132
04-22 2016-04-22 16:51:21 / 수정일: 2017-04-30 22:25:55
·
설명 글이 너무 재미있네요^^
순순
IP 125.♡.42.207
04-22 2016-04-22 19:15:56 / 수정일: 2017-04-30 22:25:55
·
재밌게 읽어주셔서 감사합니다 ^^//
夏雪
IP 211.♡.209.35
04-22 2016-04-22 18:54:27 / 수정일: 2017-04-30 22:25:55
·
구글 공개키라는게 비대칭키 아니었나요?

비대칭키면 비밀키 없이 공개키만으로 암호화 해서 공개키로 verify 되는 키 생성이 쉽진 않을텐데요.
쒸프트키
IP 175.♡.26.59
04-22 2016-04-22 19:54:14 / 수정일: 2017-04-30 22:25:55
·
엌.. 페북메세지로 연락드렸던 적이 있는데
클량분이셨군요 ㅋㅋ
from CV
순순
IP 125.♡.42.207
04-22 2016-04-22 22:16:09 / 수정일: 2017-04-30 22:25:55
·
헉!!!! -ㅁ-!!!! ㅎㅎㅎ 누구시징.. 다시 페북 메시지 주세요 ㅎㅎ
lunneth
IP 110.♡.73.194
04-22 2016-04-22 23:54:19 / 수정일: 2017-04-30 22:25:55
·
감사합니다
곧 써먹을일이 있을것같아 스크랩!
순순
IP 125.♡.42.207
04-23 2016-04-23 14:26:33 / 수정일: 2017-04-30 22:25:55
·
^^// 도움되시길 바랍니다~!!
SimplyK
IP 221.♡.222.82
04-23 2016-04-23 00:47:18 / 수정일: 2017-04-30 22:25:55
·
헐 요새 탈옥 아이폰에서 인앱결제가 뚫리나요 ㅎㄷㄷ
lunneth
IP 110.♡.73.194
04-23 2016-04-23 03:13:29 / 수정일: 2017-04-30 22:25:55
·
뚫린지 몇년 됐습니다.
오히려 요즘은 탈옥이 안나오고 있죠.
Kyou
IP 175.♡.19.23
04-25 2016-04-25 02:43:14 / 수정일: 2017-04-30 22:25:55
·
봉C님
요즘도 뚫립니다. 단지 본문처럼 서버에 인앱요구하여 하는방식은 해당기기나 아이디등 벤이지만 그게 아닌 일반인앱같은경우는 옛날부터 꽤나 쉬운편입니다;;
#CLiOS
파란화면
IP 116.♡.27.102
04-24 2016-04-24 11:08:31 / 수정일: 2017-04-30 22:25:55
·
루팅폰을 막는 식의 접근방식은 별로 추천드리고 싶지가 않은 게... 루팅 숨기기(우회) 방법이 많아서요.
from CV
새로운 댓글이 없습니다.
이미지 최대 업로드 용량 15 MB / 업로드 가능 확장자 jpg,gif,png,jpeg,webp
지나치게 큰 이미지의 크기는 조정될 수 있습니다.
목록으로
글쓰기
글쓰기
목록으로 댓글보기 이전글 다음글
아이디  ·  비밀번호 찾기 회원가입
이용규칙 운영알림판 운영소통 재검토요청 도움말 버그신고
개인정보처리방침 이용약관 책임의 한계와 법적고지 청소년 보호정책
©   •  CLIEN.NET
보안 강화를 위한 이메일 인증
안전한 서비스 이용을 위해 이메일 인증을 완료해 주세요. 현재 회원님은 이메일 인증이 완료되지 않은 상태입니다.
최근 급증하는 해킹 및 도용 시도로부터 계정을 보호하기 위해 인증 절차가 강화되었습니다.

  • 이메일 미인증 시 글쓰기, 댓글 작성 등 게시판 활동이 제한됩니다.
  • 이후 새로운 기기에서 로그인할 때마다 반드시 이메일 인증을 거쳐야 합니다.
  • 2단계 인증 사용 회원도 최초 1회는 반드시 인증하여야 합니다.
  • 개인정보에서도 이메일 인증을 할 수 있습니다.
지금 이메일 인증하기
등록된 이메일 주소를 확인하고 인증번호를 입력하여
인증을 완료해 주세요.